Przygotowanie do Key Vault API w wersji 2026-02-01 i nowszej: domyślna kontrola dostępu oparta na rolach Azure RBAC

Interfejs API Azure Key Vault w wersji 2026-02-01 i późniejszej zmienia domyślny model kontroli dostępu dla nowych skarbców do Azure RBAC, zgodnie ze środowiskiem portalu Azure. Zarówno Azure RBAC, jak i zasady dotyczące dostępu pozostają w pełni obsługiwane. Interfejs API w wersji 2026-02-01 jest dostępny w publicznych regionach platformy Azure, Mooncake i Fairfax.

• Nowe zasady tworzenia magazynu kluczy: Podczas tworzenia nowego magazynu z wersją interfejsu API 2026-02-01 lub nowszą, domyślny model kontroli dostępu to Kontrola dostępu Azure RBAC (enableRbacAuthorization = true). To ustawienie domyślne dotyczy tylko operacji tworzenia . Aby użyć zasad dostępu dla nowych skarbców, ustaw enableRbacAuthorization na false podczas tworzenia.
• Istniejące zachowanie magazynu kluczy: istniejące magazyny zachowują swój obecny model kontroli dostępu, chyba że jawnie go zmienisz enableRbacAuthorization. Aktualizowanie magazynu przy użyciu wersji 2026-02-01 interfejsu API lub nowszej nie powoduje automatycznej zmiany kontroli dostępu. Magazyny, w których enableRbacAuthorization znajduje się null (ze starszych wersji interfejsu API) nadal korzystają z zasad dostępu.

Ważne

Wszystkie wersje interfejsu API płaszczyzny sterowania Key Vault wydane przed 2026-02-01 zostaną wycofane 27 lutego 2027. Przyjmij wersję interfejsu API 2026-02-01 lub nowszą przed tą datą. Interfejsy API płaszczyzny danych nie są dotknięte.

Wersje interfejsu API w wersji zapoznawczej (z wyjątkiem wersji 2026-04-01-preview) są wycofywane z 90-dniowym okresem powiadomienia.

Należy pamiętać, że Azure Cloud Shell zawsze używa najnowszej wersji interfejsu API. Jeśli masz skrypty uruchamiane w Cloud Shell, upewnij się, że są one zgodne z interfejsem API w wersji 2026-02-01 lub nowszej.

Zestawy SDK zarządzania płaszczyzną sterowania obsługujące interfejs API w wersji 2026-02-01 są dostępne dla wszystkich języków. Aby uzyskać szczegółowe informacje o pakiecie, zobacz Co nowego w usłudze Azure Key Vault.

Zachęcamy do migracji magazynów kluczy, które obecnie korzystają ze starszych zasad dostępu, do Azure RBAC (kontroli dostępu opartej na rolach) w celu poprawy bezpieczeństwa. Aby uzyskać więcej informacji na temat tego, dlaczego Azure RBAC jest zalecana, zobacz Azure kontrola dostępu oparta na rolach (Azure RBAC) a zasady dostępu.

Co należy zrobić

Jeśli znasz już model kontroli dostępu magazynu, przejdź do sekcji Określanie następnych kroków. W przeciwnym razie najpierw sprawdź bieżącą konfigurację .

Ważne

Aby zmienić enableRbacAuthorization właściwość magazynu kluczy, musisz mieć Microsoft.Authorization/roleAssignments/write uprawnienie. To uprawnienie jest uwzględniane w rolach, takich jak Właściciel i Administrator dostępu użytkowników. Aby uzyskać więcej informacji, zobacz Włącz uprawnienia RBAC Azure w Key Vault.

Sprawdzanie bieżącej konfiguracji

Sprawdź, czy konfiguracja dostępu sejfu jest ustawiona na Azure RBAC lub zasady dostępu. Sprawdź tę konfigurację za pomocą Azure CLI lub poleceń programu PowerShell.

Po sprawdzeniu konfiguracji:

• Jeśli magazyny używają Azure RBAC (enableRbacAuthorization = true), przejdź do magazynów używających Azure RBAC.
• Jeśli skarbce używają zasad dostępu (starsza wersja) (enableRbacAuthorization = false lub null), przejdź do Skarbców z zasadami dostępu.

Sprawdź pojedynczy skarbiec

Azure CLI

1. Użyj polecenia az keyvault show , aby pobrać szczegóły magazynu:

   az keyvault show --name <vault-name> --resource-group <resource-group>
   

2. Sprawdź właściwość Enabled for RBAC Authorization (enableRbacAuthorization) dla magazynu kluczy.

PowerShell

1. Użyj polecenia cmdlet Get-AzKeyVault, aby uzyskać informacje o magazynie:

   Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   

2. Sprawdź właściwość Enabled for RBAC Authorization (enableRbacAuthorization) dla magazynu kluczy.

Sprawdzanie wielu magazynów według grupy zasobów

Azure CLI

Użyj polecenia az keyvault list, aby wyświetlić wszystkie magazyny w grupie zasobów i sprawdzić ich status autoryzacji RBAC:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Utwórz następującą funkcję w programie PowerShell:

   function Get-KeyVaultsFromResourceGroup {
       # Get all key vaults in the specified resource group (basic information)
       $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Nadaj grupie zasobów nazwę, dla której chcesz uruchomić funkcję:

   $resourceGroupName = "<resource-group>"
   

3. Wywołaj funkcję Get-KeyVaultsFromResourceGroup, aby zobaczyć, które magazyny w grupie zasobów z kroku 2 mają zasady dostępu włączone, a które mają włączoną kontrolę dostępu opartą na rolach Azure RBAC.

Sprawdź wiele magazynów po identyfikatorze subskrypcji

Azure CLI

Użyj polecenia az keyvault list, aby wyświetlić listę wszystkich skrytek w subskrypcji i sprawdzić ich status autoryzacji RBAC.

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Utwórz następującą funkcję w programie PowerShell:

   function Get-KeyVaultsFromSubscription {
       # Get all key vaults in the subscription (basic information)
       $keyVaults = Get-AzKeyVault
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
           $resourceGroupName = $keyVault.ResourceGroupName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Wywołaj funkcję Get-KeyVaultsFromSubscription, aby zobaczyć, które skarbce w subskrypcji mają zasady dostępu włączone, a które mają włączoną kontrolę dostępu opartą na rolach Azure (Azure RBAC). W zależności od liczby magazynów w ramach subskrypcji uruchomienie funkcji może potrwać ponad 10 minut.

Określanie następnych kroków

Na podstawie bieżącego modelu kontroli dostępu postępuj zgodnie z poniższymi odpowiednimi wskazówkami.

Magazyny korzystające z kontroli dostępu opartej na rolach Azure

Jeśli key vaulty już używają Azure RBAC, nie są wymagane żadne zmiany kontroli dostępu. Należy jednak zaktualizować wszystkie szablony Key Vault ARM, BICEP, Terraform oraz wywołania REST API, aby używać wersji API 2026-02-01 lub nowszych przed 27 lutego 2027 r., kiedy starsze wersje API będą wycofane.

Magazyny korzystające z zasad dostępu

Jeśli magazyny kluczy używają zasad dostępu (starsza wersja) (enableRbacAuthorization = false lub null), zdecyduj, czy chcesz przeprowadzić migrację do dostępu opartego na rolach (zalecane) lub kontynuować korzystanie z zasad dostępu. Aby uzyskać więcej informacji na temat modeli kontroli dostępu, zobacz Użyj Azure RBAC do zarządzania dostępem do Key Vault i najlepsze praktyki Azure Key Vault.

Wybierz ścieżkę:

• Azure RBAC (zalecane): Migrate to Azure RBAC w celu zwiększenia bezpieczeństwa.
• Zasady dostępu (starsza wersja): Kontynuuj używanie zasad dostępu przez ustawienie enableRbacAuthorization na false podczas tworzenia nowych magazynów.

Migrowanie do kontroli dostępu opartej na rolach Azure (zalecane)

Użyj tej okazji, aby zwiększyć poziom bezpieczeństwa, migrując z polityki dostępu do magazynu do Kontroli dostępu opartej na rolach w Azure. Aby uzyskać szczegółowe wskazówki dotyczące migracji, zobacz Przejdź z zasad dostępu do skarbca na model kontroli dostępu opartej na rolach w Azure.

Po przeprowadzeniu migracji zaktualizuj wszystkie Key Vault ARM, BICEP, szablony programu Terraform i wywołania interfejsu API REST, aby używać interfejsu API w wersji 2026-02-01 lub nowszej.

Kontynuuj korzystanie z zasad dostępu

Zasady dostępu pozostają w pełni obsługiwanym modelem kontroli dostępu.

• Istniejące magazyny: magazyny korzystające z zasad dostępu nadal działają bez zmian. Upewnij się, że twoje szablony ARM, BICEP, Terraform oraz wywołania interfejsu API REST używają wersji API 2026-02-01 lub nowszej przed 27 lutego 2027 r.
• Nowe skarbce: podczas tworzenia nowych skarbców przy użyciu interfejsu API w wersji 2026-02-01 lub nowszej, należy jawnie ustawić enableRbacAuthorization na false, aby korzystać z zasad dostępu, zgodnie z poniższym opisem.

Wybierz jedną z następujących metod w zależności od scenariusza:

• Korzystanie z szablonów ARM, BICEP i Terraform
• Używając poleceń Create Key Vault
• Korzystanie z poleceń Create Resource

Korzystanie z szablonów ARM, BICEP i Terraform

Podczas tworzenia nowych magazynów kluczy przy użyciu interfejsu API w wersji 2026-02-01 lub nowszej, ustaw enableRbacAuthorization na false we wszystkich szablonach Key Vault ARM, BICEP, Terraform i wywołaniach REST API, aby korzystać z zasad dostępu (wersja klasyczna).

Używanie poleceń tworzenia Key Vault

Podczas tworzenia nowych magazynów kluczy przy użyciu interfejsu API w wersji 2026-02-01 lub nowszej, należy określić konfigurację zasad dostępu, aby uniknąć domyślnego korzystania z Azure RBAC.

Upewnij się, że masz najnowszą wersję modułów Azure CLI lub PowerShell.

Azure CLI

Zaktualizuj Azure CLI do najnowszej wersji. Aby uzyskać więcej informacji, zobacz Jak zaktualizować Azure CLI.

PowerShell

Zaktualizuj moduły programu PowerShell do najnowszej wersji:

• Update-Module (PowerShellGet)
• Update-AzModule (Az.Tools.Installer)

Użyj odpowiedniego polecenia, aby utworzyć magazyn kluczy z zasadami dostępu:

Azure CLI

Użyj polecenia az keyvault create i ustaw polecenie --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

PowerShell

Użyj polecenia cmdlet New-AzKeyVault i ustaw polecenie -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Korzystanie z poleceń Create Resource

Podczas tworzenia nowych magazynów kluczy przy użyciu interfejsu API w wersji 2026-02-01 lub nowszej, ustaw enableRbacAuthorization na false w celu używania zasad dostępu (wersja starsza). Jeśli nie określisz tej właściwości, wartość domyślna to true (Azure RBAC).

Azure CLI

Użyj polecenia az resource create i ustaw "enableRbacAuthorization": false oraz --api-version "2026-02-01".

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

PowerShell

Użyj polecenia cmdlet New-AzResource i ustaw enableRbacAuthorization = $false oraz -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Dalsze kroki

• Azure kontrola dostępu oparta na rolach (Azure RBAC) a polityki dostępu
• Przenieś z polityki dostępu do sejfu do modelu uprawnień opartego na rolach w Azure
• Użyj Azure RBAC do zarządzania dostępem do Key Vault
• Zabezpieczanie magazynu kluczy
• Azure Key Vault dokumentacja interfejsu API REST